ORKUM GİYİM SAN. VE TİC. LTD. ŞTİ.
KURUMSAL KİŞİSEL
VERİLERİN KORUNMASI POLİTİKASI
|
Doküman
Bilgileri |
|
|
Doküman Adı: |
Kişisel Verilerin
Korunması Politikası |
|
Doküman İlgisi: |
Kişisel
Verilerin Korunması Politikasının amacı, ORKUM GİYİM tarafından kişisel verilerin korunmasına yönelik süreçlerin
planlanması ve bu konuya ilişkin uygulanacak esasların belirlenmesidir. |
|
Yayınlanma Tarihi: |
01/03/2020 |
|
Versiyon No: |
1 |
|
Referans / Gerekçe: |
6698 sayılı Kişisel
Verilerin Korunması Kanunu ve sair mevzuat |
|
Onay Merci: |
ORKUM GİYİM Yönetim Kurulu |
ORKUM GİYİM SAN. TİC. LTD. ŞTİ.
KURUMSAL KİŞİSEL VERİLERİN KORUNMASI POLİTİKASI
1. AMAÇ
Her bireyin kendisi ile
ilgili kişisel verilerin korunmasını isteme hakkı Anayasa’dan doğan kutsal bir
haktır. ORKUM GİYİM SAN. VE TİC. LTD. ŞTİ. olarak bu
hakkın gereklerini yerine getirmeyi en değerli görevlerimizden biri olarak
kabul ediyoruz. Bu nedenle kişisel verilerinizin hukuka uygun olarak
işlenmesine ve korunmasına önem veriyoruz.
Kurumsal
Kişisel Verilerin Korunması Politikası da kişisel verilerin korunmasına
verdiğimiz önemin bir sonucu olarak kişisel verileri işlerken ve korurken temel
aldığımız ilkeleri ve uyguladığımız prosedürleri belirlemek amacıyla
hazırlanmıştır.
2.
KAPSAM
Politika
ORKUM GİYİM’ in yönettiği bütün kişisel veriler verilerin tamamen
veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası
olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi,
depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi,
açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi,
sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde
gerçekleştirilen her türlü işlemi kapsamaktadır.
Politika
ORKUM GİYİM’ in ortaklarının, yetkililerinin, müşterilerinin,
çalışanlarının, tedarikçi yetkililerinin ve çalışanlarının ve üçüncü kişilerin
işlenen tüm kişisel verilerine ilişkindir.
ORKUM GİYİM Politika’yı mevzuata ve Kişisel Verileri Koruma
Kurumu’nun kararlarına uyum ve kişisel verilerin daha iyi korunması amaçlarıyla
değiştirebilir.
3. TANIMLAR
|
Kısaltma |
Tanım |
|
Alıcı Grubu |
Veri sorumlusu tarafından kişisel verilerin aktarıldığı gerçek veya tüzel kişi kategorisi. |
|
Açık Rıza |
Belirli bir
konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza. |
|
Anonim Hale Getirme |
Kişisel
verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli
veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale
getirilmesi. |
|
İlgili Kişi |
Kişisel verisi işlenen gerçek kişi. |
|
İlgili Kullanıcı |
Verilerin
teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya
da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri
sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen
kişilerdir. |
|
İmha |
Kişisel
verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi. |
|
Kanun/KVKK |
6698 Sayılı
Kişisel Verilerin Korunması Kanunu. |
|
Kayıt Ortamı |
Tamamen veya
kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak
kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her
türlü ortam. |
|
Kişisel Veri |
Kimliği
belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi. |
|
Veri Envanteri |
Veri
sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları
kişisel verileri işleme faaliyetlerini; kişisel verileri işleme amaçları ve
hukuki sebebi, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi
grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri
amaçlar için gerekli olan azami muhafaza edilme süresini, yabancı ülkelere
aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri
açıklayarak detaylandırdıkları envanter. |
|
Kişisel Verilerin İşlenmesi |
Kişisel
verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt
sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi,
kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden
düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle
getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi
veriler üzerinde gerçekleştirilen her türlü
işlem. |
|
Komisyon |
ORKUM GİYİM
tarafından Politika’yı ve ilgili diğer prosedürleri yönetmek ve
Politika’nın yürürlüğünü sağlamak amacıyla kurulan Kişisel Verileri Koruma
Komisyonu. |
|
Kurul |
Kişisel
Verileri Koruma Kurulu. |
|
Kurum |
Kişisel
Verileri Koruma Kurumu |
|
Özel Nitelikli Kişisel Veri |
Kişilerin
ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya
diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği,
sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili
verileri ile biyometrik ve genetik verileri. |
|
Periyodik İmha |
Kanun’da yer
alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması
durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar
eden aralıklarla re’sen gerçekleştirilecek silme, yok etme veya anonim hale
getirme işlemi. |
|
Politika |
Kişisel
Verilerin Korunması Politikası |
|
Veri İşleyen |
Veri
sorumlusunun verdiği yetkiye dayanarak veri sorumlusu adına kişisel verileri işleyen
gerçek veya tüzel kişi. |
|
Veri Sorumlusu |
Kişisel
verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin
kurulmasında ve yönetilmesinden sorumlu gerçek veya tüzel kişi. |
4. GENEL İLKELER
ORKUM GİYİM her
yeni kişisel veri işlemeyi gerektiren iş akışının hazırlık aşamasında işlenecek
verilerin aşağıdaki ilkelere uygunluğunu denetler. Uygun bulunmayan iş akışları
hayata geçirilmez.
ORKUM GİYİM kişisel verileri işlerken;
(I)
Hukuka
ve dürüstlük kurallarına uyar.
(II)
Kişisel verilerin doğru ve gerektiğinde güncel olduğundan emin olur.
(III)
İşleme amacının belirli, açık ve meşru olmasına dikkat eder.
(IV)
İşlenen verinin işlenme amacıyla bağlantılı olduğunu, işlenilmesi gerektiği
kadarıyla sınırlı işlendiğini ve ölçülü olduğunu kontrol eder.
(V)
Verileri ancak ilgili mevzuatta öngörörülen veya işlenme amacı için gerekli
olduğu kadar muhafaza eder, işlenme amacı ortadan kalktığında imha eder.
5.
GÖREV VE SORUMLULUKLAR
ORKUM GİYİM bünyesinde kişisel verilerin işlenmesine ilişkin
işbu Politika’yı ve ilgili diğer prosedürleri yönetmek ve Politika’nın yürürlüğünü
sağlamak amacıyla Kişisel Verilerin Korunması Komisyonu kurulmuştur. Komisyon’u
Genel Müdür, İnsan Kaynakları Sorumlusu, İdari ve Mali İşler Şefi oluşturmaktadır.
ORKUM GİYİM bunun yanı sıra gerektiğinde 6698 sayılı Kişisel
Verilerin Korunması Kanunu’na uyum sağlamak amacıyla KVKK danışmanlığı desteği
de almaktadır. Komisyon gerek görmesi halinde toplantılarına KVKK danışmanını
çağırabilir.
Komisyon’un görev ve
sorumlulukları aşağıda belirtilmiştir.
(I) Olağan olarak 6
ayda bir toplanır. Şartların gerektirmesi halinde olağanüstü toplanılabilir
(örneğin olası bir veri ihlali durumunda).
(II) Politika’da
değiştirilmesi/geliştirilmesi gereken hususları tartışır.
(III) Kişisel
verilerin hukuka uygun işlenmesi ve korunması adına yerine getirilebilecek
hususları tespit eder.
(IV) Komisyon,
şirket içi ve iş ortakları nezdinde KVKK farkındalığını artırmak için
atılabilecek adımları belirler.
(V) Kişisel
verilerin işlenmesi ve korunması hususunda karşılaşılabilecek riskleri tespit
eder, gerekli idari ve teknik tedbirleri alır.
(VI) Kurum
ile irtibatı sağlar ve ilişkileri yönetir.
(VII) İlgili Kişi’den gelen
talepleri değerlendirir.
(VIII) Periyodik imha
süreçlerini takip eder.
(IX) Veri Envanteri’ni
günceller.
(X) Yukarıda sayılan
hususlara ilişkin görevlendirmeleri yapar.
6. Veri
Güvenliği İçin Alınan Tedbirler
ORKUM GİYİM (i) kişisel verilerin hukuka aykırı olarak
işlenmesini önlemek, (ii) kişisel verilere hukuka aykırı olarak
erişilmesini önlemek, (iii) kişisel verilerin muhafazasını sağlamak
amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli hertürlü teknik
ve idari tedbirleri alır.
6.1.
Teknik Tedbirler
(I) Ağ güvenliği ve
uygulama güvenliği sağlanmaktadır.
(II) Bilgi
teknolojileri sistemleri tedarik, geliştirme ve bakımı kapsamındaki güvenlik
önlemleri alınmaktadır.
(III) Erişim
logları düzenli olarak tutulmaktadır.
(IV) Güncel
anti-virüs sistemleri kullanılmaktadır.
(V) Güvenlik
duvarları kullanılmaktadır.
(VI) Kişisel
veri içeren fiziksel ortamlara giriş çıkışlarla ilgili gerekli güvenlik
önlemleri alınmaktadır.
(VII) Kişisel
veri içeren fiziksel ortamların dış risklere (yangın, sel vb.) karşı güvenliği
sağlanmaktadır.
(VIII) Kişisel
veri içeren ortamların güvenliği sağlanmaktadır.
(IX) Kişisel
veriler yedeklenmekte ve yedeklenen kişisel verilerin güvenliği de
sağlanmaktadır.
(X) Kullanıcı hesap
yönetimi ve yetki kontrol sistemi uygulanmakta olup bunların takibi de
yapılmaktadır.
(XI) Log
kayıtları kullanıcı müdahalesi olmayacak şekilde tutulmaktadır.
(XII) Şifreleme
yapılmaktadır.
6.2. İdari Tedbirler
(I) Çalışanlar için
veri güvenliği hükümleri içeren disiplin düzenlemeleri mevcuttur.
(II) Çalışanlar
için veri güvenliği konusunda belli aralıklarla eğitim ve farkındalık
çalışmaları yapılmaktadır.
(III) Erişim,
bilgi güvenliği, kullanım, saklama ve imha konularında kurumsal politikalar
hazırlanmış ve uygulamaya başlanmıştır.
(IV) Gerektiğinde
veri maskeleme önlemi uygulanmaktadır.
(V) Gizlilik
taahhütnameleri yapılmaktadır.
(VI) Çalışanlar
için yetki matrisi oluşturulmuştur.
(VII) Görev
değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkileri
kaldırılmaktadır.
(VIII) İmzalanan
sözleşmeler veri güvenliği hükümleri içermektedir.
(IX) Kişisel
veri güvenliği politika ve prosedürleri belirlenmiştir.
(X) Kişisel veri
güvenliği sorunları hızlı bir şekilde raporlanmaktadır.
(XI) Kişisel
veri güvenliğinin takibi yapılmaktadır.
(XII) Kişisel
veriler mümkün olduğunca azaltılmaktadır.
(XIII) Kurum
içi periyodik ve/veya rastgele denetimler yapılmakta ve yaptırılmaktadır.
(XIV) Mevcut
risk ve tehditler belirlenmiştir.
(XV) Özel
nitelikli kişisel veri güvenliğine yönelik protokol ve prosedürler belirlenmiş
ve uygulanmaktadır.
(XVI) Özel
nitelikli kişisel veriler elektronik posta yoluyla gönderilecekse mutlaka
şifreli olarak ve KEP veya kurumsal posta hesabı kullanılarak gönderilmektedir.
(XVII) Veri
işleyen hizmet sağlayıcılarının, veri güvenliği konusunda farkındalığı sağlanmaktadır.
7.
İlgili Kişinin Kişisel Verilerle İlgili Hakları
İlgili kişi, ORKUM GİYİM’ e başvurarak aşağıda yer alan konularda talepte bulunabilir:
(I) Kişisel verilerinin işlenip işlenmediğini öğrenme,
(II) Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
(III) Kişisel verilerinin işlenme amacı ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
(IV) Kişisel verilerinin yurt içinde veya yurt dışında aktarıldığı üçüncü kişileri öğrenme,
(V) Kişisel verilerinin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
(VI) KVKK ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel verilerinin silinmesini, yok edilmesini veya anonim hale getirilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerinin aktarıldığı üçüncü kişilere bildirilmesini isteme,
(VII) İşlenen verilerinin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle aleyhine bir sonucun ortaya çıkmasına itiraz etme,
(VIII) Kişisel verilerinin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme.
8.
İHLAL BİLDİRİMLERİ
ORKUM GİYİM
çalışanları, KVKK hükümlerini ve/veya Politika’yı ihlal ettiğini düşündüğü iş,
eylem veya olguyu Komisyon’a raporlar. Komite bu ihlal bildirimi akabinde
gerekli görmesi halinde toplanır ve ihlale ilişkin bir eylem planı oluşturur.
İhlal,
kişisel verilerin kanuni olmayan yollarla başkaları tarafa elde edilmesi
yoluyla gerçekleşmişse, Komisyon, Kurul’un 24.01.2019 tarih ve 2019/10 sayılı
kararı kapsamında bu durumu 72 saat
içerisinde ilgilisine ve Kurul’a
bildirir.
9. DEĞİŞİKLİKLER
Politika
üzerindeki değişiklikler Komisyon tarafından hazırlanır ve ORKUM GİYİM
Yönetim Kurulu’nun onayına sunulur. Güncellenen Politika çalışanlara e-posta
yolu ile gönderilebilir veya internet sitesi üzerinde yayınlanır.
10.
YÜRÜRLÜK TARİHİ
Politika’nın
işbu versiyonu 01.03.2020 tarihinde Yönetim Kurulu tarafından
onaylanarak yürürlüğe girmiştir.